PROTEZIONE DATI

DPO interno o esterno? Ecco dove si nasconde il conflitto di interessi

E’ l’autonomia il fattore X del Data Protection Officer. Ed è proprio dalla sua mancanza che possono nascere gravi distorsioni in violazione del GDPR. Rischi e vantaggi legati alla scelta di un dipendente dell’azienda o di un consulente esterno

29 Ott 2019
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


A più di un anno dall’applicazione del GDPR e dall’introduzione della figura del Responsabile della Protezione dei Dati (il Data Protection Officer o, semplicemente, il “DPO”), vale la pena provare a tracciare una linea, a conclusione di un periodo di rodaggio, per riflettere insieme sul concetto di conflitto di interessi che riguarda tale figura, interna o esterna che sia.

Nel corso di questo primo lasso di tempo, il dibattito sul DPO è stato incentrato non solo sui vantaggi di avere tale figura quale parte organica dell’assetto aziendale, ma anche su quanto fosse opportuna l’individuazione del soggetto da incaricare tra i propri dipendenti o, di contro, avvalendosi di professionisti esterni, nominati sulla base di un contratto di servizi.

DPO esterno o interno? Vantaggi e rischi

La discussione ha toccato anche le ipotesi di conflitto di interessi del DPO, attraverso una plurale interpretazione dei requisiti espressamente previsti dal GDPR e, inoltre, attraverso la messa a sistema applicabile della  applicabile con alcune ipotesi “di scuola” che, tuttavia, meriterebbero un ulteriore approfondimento, senza dimenticare che sono proprio le sfumature giuridiche, di non sempre facile individuazione, a muovere montagne, ma è poi l’applicazione pratica a definire il quadro vero.

Mi permetto di esprimere la mia opinione dopo un significativo periodo in cui, al netto degli anni pre-GDPR, ho maturato sul campo esperienza sia come consulente di vari DPO interni, sia come DPO esterno, e ciò tanto in piccole e medie imprese, quanto in pubbliche amministrazioni, società inhouse della PA e società multinazionali italiane ed estere.

La prima dimensione da cui partire è quella del DPO interno, cioè parte integrante del personale dipendente della società per la quale svolge tale funzione, in linea con quanto previsto dall’art. 37 comma 6 GDPR.

DPO interno: mansioni e cariche

Il Data Protection Officer, qualora interno, è bene ribadirlo, può ricoprire anche ulteriori mansioni e funzioni (art. 38 comma 6 GDPR), purché siano escluse tutte quelle di vertice che concorrono all’individuazione delle finalità e dei mezzi del trattamento da parte del titolare dello stesso, ivi incluse le funzioni più vicine al core business dell’azienda, quali quelle legate al marketing, alle vendite, alla finanza, all’IT, e cosi via.

Concetto ribadito anche nelle linee guida del Gruppo di Lavoro – Articolo 29 (WP29, oggi “EDPB”), come aggiornate al 2017, e dal position paper, del settembre 2018, firmato dal Garante europeo per la Protezione dei Dati (EDPS) all’interno del quale il conflitto d’interesse si ravvede, addirittura, anche in posizioni aziendali di livello intermedio operanti in dipartimenti/uffici che concorrono alla strutturazione dei processi di compliance aziendale.

Un elemento caratterizzante il ruolo del DPO è la sua indipendenza che si configura con la propria autonomia di gestione, organizzazione e relazione all’interno della struttura aziendale. Infatti, il DPO deve potersi relazionare con i vertici aziendali senza alcun tipo di timore e di intermediazione, come espressamente previsto dallo stesso GDPR.

Punti deboli del DPO interno

Non sono pochi i casi di Responsabili della Protezione dei Dati che – in palese violazione del GDPR – rimangono in una posizione di livello intermedio nel dipartimento e/o ufficio a cui erano inizialmente assegnati o in cui, proprio in virtù dell’art. 38 comma 6 GDPR, continuano a svolgere ulteriori funzioni. Ciò rende evidente un contrasto con il principio di autonomia e indipendenza ed alimenta un problema di conflitto di interessi, tra lo svolgimento sereno del proprio ruolo, che può porsi anche in contrasto con le direttive aziendali, e la necessità di rispettare prescrizioni, direttive ed ordini di servizio dei propri diretti superiori gerarchici: oltre all’assenza di una diretta relazione con i vertici aziendali, c’è da chiedersi come potrebbe, tale soggetto, essere autonomo se soggetto a direttive di un suo superiore gerarchico. Problema, questo, che si riscontra – seppure in misura minore – anche in caso di DPO esterno, come si vedrà.

La mancanza di autonomia, fonte primaria di quel conflitto di interessi cui fa riferimento il GDPR, dunque, limita il raggio d’azione del DPO, snaturando la sua figura e facendolo quasi scomparire, diluendolo, dall’organigramma aziendale. Una posizione non apicale del DPO comporterebbe, senza ombra di dubbio, oltre ad una lontananza dal vertice del titolare, anche la sua scarsa capacità di incidere sulle scelte economiche relative al budget da cui attingere per i propri compiti, ai sensi dell’art. 38 comma 2 GDPR.

DPO interno: a chi riporta

Attenzione, poi, in quanto anche qualora il DPO interno occupasse una posizione apicale che gli consentisse di poter svolgere con autonomia ed indipendenza il proprio ruolo, il problema del conflitto di interessi verrebbe annullato solo se questi non operasse anche in altri ruoli.

Il DPO interno per integrare pienamente la lettera e l’interpretazione delle norme del GDPR deve essere figura apicale a diretto riporto del vertice dell’azienda (o della pubblica amministrazione) e dedicato esclusivamente a svolgere tale compito. Con ciò non intendo dire che le altre ipotesi siano da considerarsi in senso stretto contra legem, tuttavia sarà più difficile – ma non impossibile, né in contrasto con la legge – che un DPO interno che svolga altre funzioni (es. legal o compliance) possa trovare anche il tempo e abbia la necessaria indipendenza per svolgere per bene il compito di DPO lontano dal rischio di conflitti di interesse con quelli del titolare.

Sì, perché la questione del conflitto di interesse qui va letta proprio in questa direzione. Gli interessi del titolare del trattamento potrebbero non essere sempre in linea con norme e prescrizioni del GDPR e sarà compito del DPO far sì che l’azienda resti sul corretto binario della aderenza alla legge sul trattamento dei dati.

Profilazione, quando richiedere una DPIA

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Immaginate un’azienda che decida di spingere l’acceleratore sulla valorizzazione degli asset informativi rappresentati dai dati personali della propria clientela attraverso campagne di marketing e profilazione basate unicamente – all’americana si direbbe – sull’uso dell’opt out sempre ed in ogni caso. Ebbene ciò potrebbe verosimilmente far impennare le vendite dell’azienda, ma potrebbe esporre il titolare del trattamento a quel famoso rischio sanzione fino al 4% del fatturato globale del titolare.

Compito del bravo DPO sarebbe quello di segnalarlo, di richiedere che il titolare svolga una DPIA e, se del caso, una valutazione della sussistenza del legittimo interesse, ed in caso negativo attivare una consultazione preventiva con il Garante. Il titolare potrebbe non essere d’accordo. Avrebbe il DPO interno la forza di contraddire il titolare, suo datore di lavoro? Forse, magari forte di un parere di un avvocato esterno. Ma molti, tanti, potrebbero preferire il basso profilo per “quieto vivere”. Questo è il vero conflitto di interessi che attanaglia la vita professionale del DPO interno.

Un DPO non dovrà ad ogni costo compiacere l’azienda, rectius il titolare del trattamento. Infatti per sterilizzare il rischio che il titolare scontento di una posizione assunta dal DPO, ad esempio in occasione di una DPIA, possa liberarsi dello scomodo collaboratore, la legge ha previsto il divieto di rimuovere il DPO per fatti connessi all’esercizio della sua funzione. E anche l’obbligatorietà di assegnare al DPO ex ante un budget deriva proprio dalla necessità di immunizzare il nostro dal rischio che il titolare lo marginalizzi per potersene liberare. Ma il datore di lavoro ha mille strumenti per depotenziare l’azione di uno scomodo dipendente.

DPO interno, il deficit di autonomia

Come noto, poi, qualsiasi dipendente, che sia uno stagista o un top manager, imposterà il suo lavoro secondo le dinamiche aziendali di riferimento, sempre proiettato alla crescita del business della propria società e della propria carriera professionale. Se tali elementi soggettivi risultassero preponderanti nella definizione di indipendenza del ruolo – e ad avviso di chi scrive lo sono – allora potremmo considerare il DPO interno potenzialmente affetto da un cronico deficit di indipendenza per sua stessa natura.

Si vuole, tuttavia, scongiurare ogni generalizzazione sul tema, cogliendo l’occasione per sollecitare una riflessione sull’opportunità di un affiancamento di consulenti esterni in ambito legale e IT per scongiurare ogni eventuale deriva centripeta e distorsiva dell’azione del DPO interno. Così come anche la costituzione di un team interno che collabori con il DPO è una soluzione sempre utile per rafforzarne ruolo ed indipendenza e per evitarne l’isolamento funzionale e lavorativo.

Il DPO nelle piccole realtà

Tuttavia, le considerazioni appena svolte riguardano per lo più realtà economico produttive medio grandi e PA altrettanto grandi. Nelle realtà più piccole sarà invece piuttosto naturale che più funzioni convergano tra loro, sia per ragioni finanziarie sia per questioni di organico e di relativa scarsità delle risorse.

Ancora una volta, in tali casi, la differenza sarà data dalla capacità del DPO interno di smarcarsi dalle influenze aziendali e dalla capacità di potersi relazionare con esterni che ne rafforzino il pensiero e l’azione, mediante un supporto sistematico o anche sporadico, ma essenziale, nei casi più delicati.

Caratteristiche del DPO esterno

Relativamente, invece, al Responsabile per la Protezione dei Dati Personali in outsourcing, le criticità sollevate fanno da eco a quelle finora analizzate, purtuttavia non esentate dalla necessaria analisi di caratteristiche proprie di questa figura.

In primis, sempre in punto di ricerca dei tratti del conflitto di interessi, un soggetto esterno alla società non avrebbe alcun interesse ad essere promosso o, comunque, a scalare l’organigramma aziendale ed in tal senso a compiacere i suoi superiori.

Certamente, il consulente esterno nominato DPO avrebbe l’interesse ad essere riconfermato e quindi a non perdere la consulenza. In tal senso potrebbe essere tentato dal non scontentare mai il titolare del trattamento. Una soluzione a tale problema potrebbe rinvenirsi nella scelta di contrattualizzare il servizio per un periodo relativamente lungo, prevedendo ipotesi di rinnovo coerenti.

Un rapporto tra il DPO esterno e la società che viri verso un’impostazione di questo tipo consentirebbe al DPO di poter svolgere le proprie attività con maggior serenità e una miglior capacità di programmazione e, di conseguenza, alla società di strutturare i processi di controllo e gestione in materia di protezione dei dati personali con una maggior lungimiranza e coerenza nel corso del tempo, riducendo così il rischio di conflitto di interessi del DPO.

DPO esterno: il contratto ideale

Esemplificativa risulta essere, a tal riguardo, quanto la Commissione europea aveva previsto nel testo, poi non approvato, della proposta di regolamento del 2012, all’art. 35 comma 7: “Il responsabile del trattamento o l’incaricato del trattamento designa un responsabile della protezione dei dati per un periodo di almeno due anni. Il mandato del responsabile della protezione dei dati è rinnovabile. […]”. Tale previsione poteva essere interpretata come la volontà, da parte del legislatore europeo, di collegare la previsione di una durata minima biennale del “mandato” ad una maggior indipendenza del ruolo di DPO.

Riguardo le ipotesi di conflitto d’interessi, resta sotto la lente d’ingrandimento del dibattito quella del consulente privacy che, dopo aver terminato il processo di compliance per conto di una azienda o PA cliente o nel corso della stessa, svolga anche il ruolo di DPO. L’opinione più critica sul punto asserisce che la funzione di controllo del DPO risulterebbe inficiata dall’oggetto del controllo stesso: l’assetto privacy alla cui strutturazione ha preso parte attraverso la sua attività di consulenza. Tale connivenza, stando alla tesi più critica, farebbe venir meno il requisito di imparzialità tipico della figura del supervisore.

Non dimentichiamo, però, che per sua natura il DPO è funzione di controllo ma anche di consulenza del titolare.

DPO esterno, quale rischio di conflitto

Volendo provare a seguire il tracciato di questa tesi, c’è da chiedersi in che modo il conflitto d’interessi verrebbe a nascere. In particolare, in che modo l’azione svolta dal consulente privacy possa incidere sulla capacità di individuazione delle finalità e delle modalità di trattamento.

Per avvalorare tale tesi, in particolare, si riprende quanto affermato dall’EDPS, nel già position paper: “A conflict of interests may tipically also arise (even for lower level positions) […] when a DPO who is also part of the compliance team must asses compliance checks and related data processing that they have designed”. Tale affermazione andrebbe interpretata individuando alcuni elementi centrali della posizione assunta dal Garante europeo. Si potrebbe affermare, infatti, che questa ipotesi di conflitto di interessi si basi sull’appartenenza del DPO alla funzione aziendale di compliance, cioè parte integrante dell’organigramma aziendale e che sia stato, anche solo parzialmente, coinvolto nelle decisioni e nei processi afferenti il proprio team.

Risulterebbe, quindi, forzata l’interpretazione secondo la quale anche il consulente privacy esterno possa ritenersi in conflitto di interessi se DPO della stessa società. Come può la capacità irrisoria, se non nulla, del consulente di incidere sui processi aziendali essere paragonata a quella di chi quotidianamente agisce nel contesto aziendale, fosse anche nel team di compliance? Il consulente, nello svolgimento delle sue funzioni, svolge un compito specifico in raccordo con gli organi manageriali dell’azienda ma, ad ogni modo, qualsiasi servizio prestato a favore di questa resta soggetta all’intermediazione e alle relative valutazioni delle stesse funzioni direttive e dunque del titolare del trattamento.

Per esperienza personale, poi, mi sia consentito dire che laddove abbia curato il progetto di compliance privacy dell’azienda e poi sia stato chiamato a fare da DPO esterno dell’azeinda stessa, il vantaggio di conoscerne già i meccanismi e di averne scritto le policies aziendali è infinitamente maggiore rispetto a quelle ipotesi in cui debba maneggiare strumenti di compliance preparati da altri o addirittura scaturenti solo da applicativi software.

Gli svantaggi di un “libero professionista”

Altro tema che spesso emerge nel dibattito circa la nomina del DPO esterno ed il rischio di conflitto di interessi riguarda il numero di funzioni analoghe ricoperte. Va da sé che è già complicato per un DPO interno riuscire a svolgere appieno tale funzione vivendo quotidianamente la vita dell’azienda, figuriamoci le montagne da scalare che si frappongono tra il DPO esterno e gli obiettivi di corretto svolgimento delle sue funzioni stando fuori dall’agone aziendale. Rischio che per il DPO esterno si ingrandisce laddove questi svolga lo stesso compito per decine di aziende e, come libero professionista e consulente, svolgendo tanti altri compiti ed incarichi.

Questo è davvero un falso problema laddove il DPO esterno sia strutturato con un adeguato numero di collaboratori professionalmente formati e competenti, che presidino quotidianamente il campo, non necessariamente operando fisicamente dall’interno dell’azienda. Viceversa sì, il problema è reale.

Smart working e team, i punti di forza

La funzione del DPO si esalta ancora di più mediante l’uso intelligente di tecniche di smart working e ciò contribuisce a garantire l’indipendenza e l’autorevolezza della funzione e delle sue articolazioni.

Tuttavia il team del DPO esterno deve essere davvero il team del DPO esterno e non si può invece immaginare di delegare in toto il lavoro ai collaboratori senza un vero coinvolgimento del DPO nominato o facendo continuamente ruotare i collaboratori sul presupposto che tanto ognuno possa essere sempre pienamente interscambiabile con l’altro.

Il fattore umano, la consuetudine, la conoscenza delle altre funzioni aziendali, degli strumenti software dell’azienda, dell’insieme dei mezzi e dei fini del trattamento – senza mai contribuire alla loro determinazione – fanno la differenza. La professionalità del DPO determina poi la capacità di essere sempre terzo, controllore e consulente del titolare, evitando i conflitti di interesse nell’adempimento dei suoi compiti.

In conclusione, una posizione netta, che possa dirsi “regola aurea” sul tema, non c’è. Esiste il buon senso e il profondo rispetto delle norme, condizionati da un approccio deontologico alla propria professione, in un mercato libero e ricco di opportunità per i più capaci.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 2